|
| HOMEPAGE | INDICE FORUM | REGOLAMENTO | ::. | NEI PREFERITI | .:: | RSS Forum | RSS News | NEWS web | NEWS software | |
| PUBBLICITA' | | | ARTICOLI | WIN XP | VISTA | WIN 7 | REGISTRI | SOFTWARE | MANUALI | RECENSIONI | LINUX | HUMOR | HARDWARE | DOWNLOAD | | | CERCA nel FORUM » | |
29-04-2016, 20.06.05 | #1 |
Forum supporter
Global Moderator
Registrato: 23-08-2007
Messaggi: 2.704
|
La modalità divina di windows viene sfruttata da un malware
La modalità divina di windows viene sfruttata da un malware La backdoor del trojan dynamer utilizza la modalità divina di Windows come cavallo di troia per poter ottenere la persistenza sui computer infetti I ricercatori della sicurezza informatica di McAfee Labs hanno incontrato una nuova famiglia di malware che sta abusando di una modalità nascosta di windows, che viene chiamata "modalità divina" (GodMode o super pannello di controllo) La GodMode consiste in un pezzo di codice che Microsoft ha lasciato all'interno di Windows, a partire da Vista, che consente agli utenti di creare una cartella con un nome ben preciso, trasformandola automaticamente in un contenitore in cui sono elencati tutti i collegamenti a tutte le impostazioni del pannello di controllo. Nessuno sa perchè esista, ma molto probabilmente è stata creata e utilizzata dagli sviluppatori della Microsoft allo scopo di eliminare i difetti di windows. Gli utenti di windows possono piazzare ovunque le cartelle Godmode; basta creare una cartella e darle questo nome: Codice:
GodMode.{ED7BA470-8E54-465E-825C-99712043E01C} I ricercatori di McAfee hanno rivelato di aver visto del malware che utilizza questo trucco, con una leggera modifica. La modalità divina viene sfruttata da Dynamer per aprire connessioni backdoor Il malware chiamato Dynamer stava infettando i computer e, al fine di ottenere la persistenza su di essi, stava aggiungendo una nuova voce al registro locale di Windows, avviando automaticamente il processo dannoso a ogni avvio dei PC. Questa chiave di registro conteneva un percorso leggermente modificato della GodMode, che apriva e reindirizzava gli utenti alla Connessione RemoteApp e desktop (del Pannello di controllo). Tenendo conto che Microsoft categorizza Dynamer come un Trojan backdoor, appare evidente che sia stato questo il modo in cui il malware apriva le connessioni (dal PC infettato) verso il suo server di riferimento. La chiave di registro di Dynamer è la seguente: Codice:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run lsm = C:\Users\admin\AppData\Roaming\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}\lsm.exe Il malware era quasi inamovibile. Quasi. Inoltre, la stringa GodMode viene sostituita con COM4. Anche se la stringa GodMode non è mai obbligatoria per creare la modalità divina del pannello di controllo, infatti gli utenti di windows la sostituiscono spesso con ciò che più li aggrada, usare la stringa com4 ha alcune ripercussioni. Craig Schmugar, ricercatore dei McAfee Labs, ha spiegato che "L'autore del malware ha cercato di dare la vita eterna a questo elenco, anteponendo 'com4'. Tali nomi di dispositivo sono proibiti dai normali comandi di Windows Explorer e del prompt dei comandi; Windows tratta questa cartella come un dispositivo, impedendo così agli utenti di cancellare facilmente la cartella con i tipici comandi dell'interfaccia grafica di windows o con quelli della riga di comando". Ciò non di meno la squadra di McAfee ha trovato un modo per eliminare tali elementi dannosi dal PC: gli utenti possono eseguire il prossimo comando per eliminare il malware; nel caso in cui Dynamer si trovi in altri percorsi, dovrà essere usato il percorso corretto. Codice:
rd "\.\%appdata%\com4.{241D7C96-F8BF-4F85-B01F-E2B043341A4B}" /S /Q
___________________________________
Ultima modifica di xilo76 : 29-04-2016 alle ore 21.30.14 |
Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti) | |
Strumenti discussione | |
|
|
Discussioni simili | ||||
Discussione | Autore discussione | Forum | Risposte | Ultimo messaggio |
AutoPatcher Vista June 2007 | giancarlof | Segnalazioni Web | 4 | 07-08-2007 21.16.05 |
Strumento di rimozione malware per Windows v1.19 | Thor | Archivio News Software | 1 | 14-11-2006 21.19.47 |
Windows Patches | Gervy | Archivio News Web | 20 | 13-08-2006 18.39.27 |
M.S.B. Dicembre | Gervy | Archivio News Web | 0 | 13-12-2005 22.24.39 |
Windows Patches | Gervy | Archivio News Web | 5 | 17-06-2005 13.58.41 |